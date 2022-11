„Der KMU Status Report Informationssicherheit liefert mit wenig Zeit- und Ressourcenaufwand einen Überblick zum Stand der Informationssicherheit. Auf dieser Basis kann das Unternehmen dann selbst über die nächsten Schritte entscheiden“, sagt Alexander Häußler, Global Product Performance Manager IT, TÜV SÜD Management Service GmbH. „Auch Unternehmen, die nicht sofort eine international anerkannte Zertifizierung anstreben, erhalten so wertvolle Informationen, um ihre Cybersicherheit zu verbessern.“Der KMU Status Report Informationssicherheit wurde von unabhängigen TÜV SÜDExperten nach dem Grundsatz „Konzentration auf das Wesentliche“ entwickelt und ist nicht an eine Zertifizierung gekoppelt. Der Prüfkatalog umfasst grundsätzliche Anforderungen, von organisatorischen Aspekten bis hin zur Technikausstattung in der IT. Die Basis dafür ist unter anderem der internationale Standard ISO/IEC 27002, der eine umfangreiche Sammlung der etablierten Sicherheitsmaßnahmen darstellt. Das Assessment richtet sich an Unternehmen mit bis zu 250 bzw. 500 Mitarbeitenden, deren Hauptzweck nicht in der Bereitstellung oder dem Betrieb von ITSystemen liegt.• Expertenwissen: Unabhängige Experten von TÜV SÜD identifizieren die Informationssicherheitsrisiken im Unternehmen.• Geringe Ressourcenbindung: Während des Audits (ein bis zwei Tage vor Ort sowie ein Tag Vor- und Nachbereitung des Auditors) kann das Tagesgeschäft im Unternehmen und in der IT weitgehend normal weiterlaufen.• Keine Verpflichtung: Anders als bei einer Zertifizierung sind die auditierten Unternehmen nicht verpflichtet, bestimmte Maßnahmen umzusetzen oder Folgeaudits zu absolvieren.• Objektive Priorisierung: Die Experten von TÜV SÜD gehen die Anforderungen des Prüfkatalogs durch und bewerten, ob aus der geprüften Stichprobe Risiken ableitbar sind.• Kein Interessenskonflikt: Als unabhängiger und neutraler Prüfdienstleister übernimmt TÜV SÜD nach der Erstellung des Statusreports keine Beratertätigkeit für das auditierte Unternehmen.